CN106101007B - 处理报文的方法及装置 - Google Patents
处理报文的方法及装置 Download PDFInfo
- Publication number
- CN106101007B CN106101007B CN201610356636.9A CN201610356636A CN106101007B CN 106101007 B CN106101007 B CN 106101007B CN 201610356636 A CN201610356636 A CN 201610356636A CN 106101007 B CN106101007 B CN 106101007B
- Authority
- CN
- China
- Prior art keywords
- message
- ssl
- server
- protocol type
- unloading
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
- H04L47/125—Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供一种处理报文的方法及装置,所述方法包括:接收客户端向服务端发送的第一报文,所述第一报文由所述客户端通过SSL协议进行加密处理;根据预配置的SSL卸载策略,若所述第一报文匹配所述SSL卸载策略,则将所述第一报文执行SSL卸载后转发至所述服务端,所述SSL卸载策略用于限定对接收到的报文执行SSL卸载时需要匹配的卸载规则。应用上述方法,可以实现灵活地对服务器按需进行SSL卸载,并有效地降低服务器的压力,提高服务器的性能。
Description
技术领域
本申请涉及网络通信技术领域,尤其涉及处理报文的方法及装置。
背景技术
SSL(Secure Sockets Layer安全套接层)协议是为网络通信提供安全及数据完整性的一种安全协议,是在互联网上广泛应用于安全性保障的一种主导技术。当客户端和服务器采用SSL协议进行数据通信时,发送端可以将报文进行加密,当加密后的报文传输到对端后,由对端对其进行解密,从而保障了通信过程中的信息安全。然而,服务器在处理加密数据(包括对数据进行加密和解密)时所消耗的时间远超过处理明文数据的时间。因此,服务器将消耗大量的性能用于处理加密数据上,而随着越来越多的应用重视安全性与私密性,服务器将越来越多的处理加密数据,从而为服务器造成较大的负担及压力。
现有技术中,为了减小服务器的负担和压力,可以使用SSL卸载技术,即将服务器处理加密数据的工作转移到其它设备,例如SSL加速设备上,从而减小了服务器所承受的压力,提高了服务器的处理性能。然而,现有的SSL卸载技术仅仅可以针对不同的服务器进行SSL卸载策略配置,例如,可以针对服务器1进行SSL卸载,而对服务器2不进行SSL卸载,并不能灵活地针对同一服务器,按需进行SSL卸载,例如,客户端1与服务器进行通信时,对该服务器进行SSL卸载,客户端2与服务器进行通信时,对该服务器不进行SSL卸载。
发明内容
有鉴于此,本申请提供一种处理报文的方法及装置,以实现灵活地对服务器按需进行SSL卸载,并有效地降低服务器的压力,提高服务器的性能。
具体地,本申请是通过如下技术方案实现的:
根据本申请实施例的第一方面,提供一种处理报文的方法,所述方法包括:
接收客户端向服务端发送的第一报文,所述第一报文由所述客户端通过SSL协议进行加密处理;
根据预配置的SSL卸载策略,若所述第一报文匹配所述SSL卸载策略,则将所述第一报文执行SSL卸载后转发至所述服务端,所述SSL卸载策略用于限定对接收到的报文执行SSL卸载时需要匹配的卸载规则。
在一实施例中,所述SSL卸载策略包括:SSL协议类型、服务端标识、卸载规则;
所述第一报文匹配所述SSL卸载策略,包括:
所述第一报文的协议类型为SSL协议类型,所述第一报文中的目的IP地址所对应的服务端标识与所述SSL卸载策略中的服务端标识一致,且所述第一报文与所述SSL卸载策略中的卸载规则相匹配。
在另一实施例中,所述卸载规则,包括:基于客户端标识卸载、基于资源阈值卸载、基于业务安全系数卸载。
在又一实施例中,所述方法还包括:
若所述第一报文匹配所述SSL卸载策略,在保存的会话信息中增加会话表项,所述会话表项包括:客户端标识、服务端标识、客户端协议类型,服务端协议类型,其中,所述客户端协议类型为SSL协议类型,服务端协议类型为非SSL协议类型;
当接收到服务端向客户端发送的第二报文时,根据所述第二报文查找所述会话信息,当查找到所述第二报文对应的会话表项时,根据所述会话表项中的客户端协议类型为SSL协议类型,服务端协议类型为非SSL协议类型,加密所述第二报文,将所述加密后的第二报文转发至所述客户端。
在又一实施例中,所述方法还包括:
若所述第一报文未匹配所述SSL卸载策略,则将所述第一报文转发至服务端处理;并在保存的会话信息中增加会话表项,所述会话表项包括:客户端标识、服务端标识、客户端协议类型、服务端协议类型,其中所述客户端协议类型为SSL协议类型,服务端协议类型为SSL协议类型;
当再次接收到客户端发送至服务端的第一报文时,根据所述第一报文查找所述会话信息,当查找到所述第一报文对应的会话表项时,根据所述会话表项中的客户端协议类型与服务端协议类型均为SSL协议类型,将所述第一报文转发至服务端处理。
根据本申请实施例的第二方面,提供一种处理报文的装置,所述装置包括:
接收单元,用于接收客户端向服务端发送的第一报文,所述第一报文由所述客户端通过SSL协议进行加密处理;
匹配单元,用于根据预配置的SSL卸载策略与所述第一报文进行匹配;
处理单元,用于在所述第一报文匹配所述SSL卸载策略时,将所述第一报文执行SSL卸载后转发至所述服务端,所述SSL卸载策略用于限定对接收到的报文执行SSL卸载时需要匹配的卸载规则。
在一实施例中,所述SSL卸载策略包括:SSL协议类型、服务端标识、卸载规则;
所述匹配单元,具体用于:
若所述第一报文的协议类型为SSL协议类型,所述第一报文中的目的IP地址所对应的服务端标识与所述SSL卸载策略中的服务端标识一致,且所述第一报文与所述SSL卸载策略中的卸载规则相匹配,则确定所述第一报文匹配所述SSL卸载策略。
在另一实施例中,所述卸载规则,包括:基于客户端标识卸载、基于资源阈值卸载、基于业务安全系数卸载。
在又一实施例中,所述装置还包括:
第一保存单元,用于在所述第一报文匹配所述SSL卸载策略时,在保存的会话信息中增加会话表项,所述会话表项包括:客户端标识、服务端标识、客户端协议类型,服务端协议类型,其中,所述客户端协议类型为SSL协议类型,服务端协议类型为非SSL协议类型;
第一查找单元,用于当接收到服务端向客户端发送的第二报文时,根据所述第二报文查找所述会话信息;
所述处理单元,还用于当查找到所述第二报文对应的会话表项时,根据所述会话表项中的客户端协议类型为SSL协议类型,服务端协议类型为非SSL协议类型,加密所述第二报文,将所述加密后的第二报文转发至所述客户端。
在又一实施例中,所述处理单元,还用于:在所述第一报文未匹配所述SSL卸载策略时,将所述第一报文转发至服务端处理;
第二保存单元,用于在所述第一报文未匹配所述SSL卸载策略时,在保存的会话信息中增加会话表项,所述会话表项包括:客户端标识、服务端标识、客户端协议类型、服务端协议类型,其中所述客户端协议类型为SSL协议类型,服务端协议类型为SSL协议类型;
第二查找单元,用于当再次接收到客户端发送至服务端的第一报文时,根据所述第一报文查找所述会话信息;
所述处理单元,还用于:当查找到所述第一报文对应的会话表项时,根据所述会话表项中的客户端协议类型与服务端协议类型均为SSL协议类型,将所述第一报文转发至服务端处理。
由上述实施例可见,在接收到客户端向服务端发送的已通过SSL协议加密的第一报文时,通过预先配置的SSL卸载策略对该第一报文进行匹配,在匹配的情况下,对该第一报文执行SSL卸载,由于该SSL卸载策略可以是按需配置的,从而实现了对接收到的第一报文进行灵活地按需卸载,同时有效地降低了服务端的压力,提高了服务端的性能。
附图说明
图1为本申请实施例实现处理报文的方法的应用场景示意图。
图2示例了本申请处理报文的方法的一个实施例流程图。
图3示例了本申请处理报文的方法的另一个实施例流程图。
图4示例了本申请处理报文的方法的又一个实施例流程图。
图5为本申请处理报文的装置所在网络设备的一种硬件结构图。
图6是本申请处理报文的装置的一个实施例框图。
图7是本申请处理报文的装置的另一个实施例框图。
图8是本申请处理报文的装置的又一个实施例框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
请参见图1,为本申请实施例实现处理报文的方法的应用场景示意图。图1中包括客户端11、SSL卸载设备12、服务器13。其中,客户端11与服务器13均支持SSL协议,客户端11与服务器13之间通信时所传输的报文可以先传输至SSL卸载设备12,由SSL卸载设备12进行处理并转发至对端,例如,客户端11向服务器13发送报文,若客户端11已通过SSL协议将该报文加密,该报文先被传输至SSL卸载设备12,SSL卸载设备12可以通过SSL卸载技术,将其进行解密处理,将解密后的报文转发至服务器13,从而使得服务器13可以不再耗费性能对报文进行解密,有效地降低了服务器13的压力,提高了服务器13的处理性能。
现有技术中的SSL卸载技术仅仅可以针对不同的服务器进行SSL卸载,例如,假设在图1中还包括服务器14,客户端11也可以向服务器14发送使用SSL协议加密后的报文,该报文也可以先被传输至SSL卸载设备12。假设SSL卸载设备12上所配置的SSL卸载策略如下表1中所示,那么,当SSL卸载设备12接收到该报文时,可以根据表1所示的SSL卸载策略,对该报文进行普通传输,即不对该报文做解密处理,直接将该报文转发至服务器14。
表1
| 服务器标识 | SSL卸载策略 |
| 服务器13 | 进行SSL卸载 |
| 服务器14 | 不进行SSL卸载 |
| … | … |
由上述描述可见,现有技术中的SSL卸载技术虽然可以实现根据不同的服务器,选择性地降低某一服务器的压力,提高该服务器的性能,但并不能实现灵活地按需进行SSL卸载。例如,无法实现针对同一服务器,按照发往该服务器的报文所属业务的安全系数不同,按需进行SSL卸载,又例如,无法实现不同客户端向同一服务器发送加密报文时,根据发送加密报文的客户端不同,按需进行SSL卸载。因此本申请提供一种处理报文的方法及装置,以实现在通过SSL卸载技术降低服务器的压力,提高服务器性能的同时,实现灵活地按需进行SSL卸载。
如下的图2,示例了本申请处理报文的方法的一个实施例流程图,该图2所示的流程在上述图1所示应用场景的基础上,以图1中所示的SSL卸载设备12执行该方法为例,包括以下步骤:
步骤S201:接收客户端向服务端发送的第一报文,所述第一报文由所述客户端通过SSL协议进行加密处理。
在图1所示的应用场景中,客户端11支持SSL协议,那么客户端11向服务端,例如,向服务器13发送报文时,客户端11可以使用SSL协议对该报文进行加密处理,具体如何加密,可以参见现有技术中的相关描述,本申请对此不作详细赘述。为了描述方便,本申请中将客户端向服务端发送的已通过SSL协议进行加密的报文统称为第一报文。
基于图1所示的应用场景,客户端11向服务器13发送的第一报文,可以先传输至SSL卸载设备12,那么SSL卸载设备12可以接收到第一报文。
步骤S202:根据预配置的SSL卸载策略,若所述第一报文匹配所述SSL卸载策略,则将所述第一报文执行SSL卸载后转发至所述服务端,所述SSL卸载策略用于限定对接收到的报文执行SSL卸载时需要匹配的卸载规则。
SSL卸载设备12上可以预先配置有SSL卸载策略。在本申请中,该SSL卸载策略可以包括SSL协议类型、服务端标识、卸载规则等。其中,SSL协议类型可以包括HTTPS(HypertextTransfer Protocol Secure,超文本传输安全协议)、等协议;服务端标识可以指定对客户端发往某个服务器的报文执行SSL卸载;卸载规则可以指定对接收到的报文进行SSL卸载时需要匹配的规则,其可以包括基于客户端标识卸载、基于资源阈值卸载、基于业务安全系数卸载等。
其中,基于客户端标识卸载的具体含义为:通过卸载规则可以指定对某个客户端发送的第一报文进行SSL卸载,例如,假设图1中还包括客户端15,并假设SSL卸载设备12上预先设置的SSL卸载策略中,所包括的卸载规则为基于客户端标识卸载,其具体为:指定仅对客户端11发送的第一报文进行SSL卸载。那么,SSL卸载设备12接收到客户端15所发送的第一报文时,可以根据该卸载规则,不对该第一报文执行SSL卸载。
基于资源阈值卸载的具体含义为:通过卸载规则可以指定对资源利用率已达到预设的资源阈值的服务器进行SSL卸载。在该种情况下,服务器13可以将自身资源的利用率实时告知SSL卸载设备12。当SSL卸载设备12接收到发往服务器13的第一报文时,可以根据该第一报文的目的IP地址确定服务器13当前的资源利用率,若该资源利用率已超过预设的资源阈值,可以认为服务器13已承受了较高的压力,则SSL卸载设备12可以对该第一报文执行SSL卸载,从而使得服务器13可以不再处理报文的解密,从而不再为服务器13造成更大的压力。
基于业务安全系数卸载的具体意义为:通过卸载规则可以指定对安全系数低于预设的安全系数的业务所对应的报文进行SSL卸载。例如,假设客户端11与服务器13之间通信时的业务可以包括在线获取资源与在线交易,该两种业务相比较而言,在线获取资源业务的安全系数可以稍低一些,并假设在线获取资源业务的安全系数低于预设的安全系数。那么,SSL卸载设备12在确定接收到的第一报文所属的业务为在线获取资源时,根据该业务的安全系数低于预设的安全系数,对该第一报文执行SSL卸载。
当执行完步骤S201,SSL卸载设备12接收到客户端11发送的第一报文后,本步骤中,可以将该接收到的第一报文与上述预先配置的SSL卸载策略进行匹配,若匹配,则对该第一报文进行SSL卸载后转发至服务端,从而实现了根据预先配置的SSL卸载策略,按需对报文执行SSL卸载。
具体地,本步骤中,若第一报文所应用协议的协议类型为SSL协议类型,例如,第一报文所应用的协议为HTTPS;第一报文的目的IP地址所对应的服务端的标识与预先配置的SSL卸载策略中的服务端标识一致;且第一报文与预先配置的SSL卸载策略中的卸载规则相匹配,满足前述这三个条件时,可以认为该第一报文与预先配置的SSL卸载策略相匹配。
在前述三个条件中,确定第一报文所应用的协议类型为SSL协议类型,确定第一报文的目的IP地址所对应的服务端的标识与预先配置的SSL卸载策略中的服务端标识一致,可以参见现有技术中的相关描述,例如,通过第一报文的协议字段确定第一报文所应用的协议类型,通过第一报文的目的IP地址确定该目的IP地址所对应的服务端的标识,本申请对此不再作详细赘述。
在确定第一报文是否满足上述的第三个条件时,若预先配置的SSL卸载策略中的卸载规则为基于客户端标识卸载,那么,可以根据第一报文的源IP地址确定客户端的标识,确定该标识是否为卸载规则中所指定的客户端标识,若是,则可以认为该第一报文与卸载规则相匹配;若预先配置的SSL卸载策略中的卸载规则为基于资源阈值卸载,那么,可以根据第一报文的目的IP地址,确定对应的服务端,继而获取该服务端当前的资源利用率,确定获取到的资源利用率超过预设的阈值时,则可以认为该第一报文与卸载规则相匹配;若预先配置的SSL卸载策略中的卸载规则为基于业务安全系数卸载,则确定该第一报文所属的业务类型,若所获取到的业务类型的安全系数低于预设的安全系数,则认为该第一报文与卸载规则相匹配。
可以理解的是,上述所描述的卸载规则仅作为举例说明本申请是如何通过SSL卸载策略,实现灵活地按需进行SSL卸载的,实际应用中,SSL卸载策略中还可以包括除上述所描述的卸载规则以外的其它卸载规则,并且SSL卸载策略中可以同时包括两种及以上的卸载规则,本申请对此不作限制。
由上述实施例可见,在接收到客户端向服务端发送的已通过SSL协议加密的第一报文时,通过预先配置的SSL卸载策略对该第一报文进行匹配,在匹配的情况下,对该第一报文执行SSL卸载,由于该SSL卸载策略可以是按需配置的,从而实现了对接收到的第一报文进行灵活地按需卸载,同时有效地降低了服务端的压力,提高了服务端的性能。
如下的图3,示例了本申请处理报文的方法的另一个实施例流程图,该图3所示的流程在上述图1所示应用场景,以及图2所示流程的基础上,仍以图1中所示的SSL卸载设备12执行该方法为例,详细描述了在确定对接收到的报文进行SSL卸载时,通过建立会话表项,以在后续接收到该报文对应的反方向报文时,根据该会话表项确定对该反方向报文的处理方式,以及加快后续接收到报文时的处理速度,具体地可以包括以下步骤:
步骤S301:接收客户端向服务端发送的第一报文,所述第一报文由所述客户端通过SSL协议进行加密处理。
本步骤的详细描述可以参见上述步骤S201中的相关描述,在此不再详细赘述。
步骤S302:根据预配置的SSL卸载策略,若所述第一报文匹配所述SSL卸载策略,则将所述第一报文执行SSL卸载后转发至所述服务端,并在保存的会话信息中增加会话表项,所述会话表项包括:客户端标识、服务端标识、客户端协议类型,服务端协议类型,其中,所述客户端协议类型为SSL协议类型,服务端协议类型为非SSL协议类型。
在本申请中,SSL卸载设备12为了确定对后续所接收到的服务端向客户端回复的报文的处理方式,以及加快对报文的处理速度,在第一报文匹配预配置的SSL卸载策略时,可以在会话信息中建立会话表项。具体地,该会话表项可以包括:客户端标识、服务端标识、客户端协议类型、服务端协议类型等。其中,在一个例子中,客户端标识和服务端标识可以为IP地址,该例子中,可以直接从第一报文中获取源IP地址和目的IP地址,分别作为客户端标识和服务端标识;由于客户端通过SSL协议发送该第一报文,那么,客户端协议类型可以记录为SSL协议类型;由于第一报文匹配预配置的SSL卸载策略,可以将该第一报文执行SSL卸载后转发至服务端,从而,服务端协议类型可以为非SSL协议类型。如下表2,为上述描述中,在会话信息中新增的会话表项的一种示例:
表2
| 客户端标识 | 服务端标识 | 客户端协议类型 | 服务端协议类型 |
| 192.168.1.2 | 202.201.2.3 | SSL协议类型 | 非SSL协议类型 |
步骤S303:当接收到服务端向客户端发送的第二报文时,根据所述第二报文查找所述会话信息,当查找到所述第二报文对应的会话表项时,根据所述会话表项中的客户端协议类型为SSL协议类型,服务端协议类型为非SSL协议类型,加密所述第二报文,将所述加密后的第二报文转发至所述客户端。
为了描述方便,本申请实施例中,将服务端向客户端发送的报文称为第二报文。通常情况下,客户端向服务端发送第一报文后,服务端可以根据第一报文向客户端回复第二报文,基于图1所示的应用场景,该第二报文也可以先传输至SSL卸载设备12。当SSL卸载设备12接收到服务器13向客户端11发送的第二报文时,可以根据该第二报文查找上述表1所示例的会话信息,具体地可以根据该第二报文的源IP地址和目的IP地址查找上述表1,当在会话信息中查找到第二报文对应的会话表项时,根据所查找到的会话表项中的客户端协议类型为SSL协议类型,服务端协议类型为非SSL协议类型,可以将该第二报文进行加密,将加密后的第二报文转发至客户端11。通过上述描述可知,服务器13在向使用SSL协议的客户端发送报文时,可以不用对报文进行加密,而是由SSL卸载设备12对报文进行加密,从而提高了服务器13的性能,降低了服务器13的压力。
并且,在上述描述中,SSL卸载设备12接收到服务器13向客户端11发送的第二报文时,根据会话表项,即可以确定是否对报文进行加密处理,而不需要对接收到的第二报文匹配预先配置的SSL卸载策略,从而加快了SSL卸载设备12对后续所接收到的报文的处理速度。
由上述实施例可见,通过在第一报文匹配预先配置的SSL卸载策略时,根据该第一报文与匹配结果建立会话表项,在接收到服务端向客户端发送的第二报文时,根据该第二报文和其对应的会话表项,可以对该第二报文执行加密处理后,转发至客户端,从而使得服务端可以不对报文进行加密,提高了服务端的性能,降低了服务端的压力,同时也提高了SSL卸载设备对所接收到的报文的处理速度。
如下的图4,示例了本申请处理报文的方法的又一个实施例流程图,该图4所示的流程在上述图1所示应用场景,以及图2所示流程的基础上,仍以图1中所示的SSL卸载设备12执行该方法为例,详细描述了在接收到的报文与预先配置的SSL卸载策略不匹配时,对该报文的处理,具体地可以包括以下步骤:
步骤S401:接收客户端向服务端发送的第一报文,所述第一报文由所述客户端通过SSL协议进行加密处理。
本步骤的详细描述可以参见上述步骤S201中的相关描述,在此不再详细赘述。
步骤S402:根据预配置的SSL卸载策略,若所述第一报文未匹配所述SSL卸载策略,则将所述第一报文转发至服务端处理;并在保存的会话信息中增加会话表项,所述会话表项包括:客户端标识、服务端标识、客户端协议类型、服务端协议类型,其中所述客户端协议类型为SSL协议类型,服务端协议类型为SSL协议类型。
本步骤中,当第一报文未匹配预先配置的SSL卸载策略时,与上述步骤S302中相同的是,可以根据该第一报文与匹配结果,在会话信息中增加会话表项,该会话表项可以包括:客户端标识、服务端标识、客户端协议类型、服务端协议类型等。其中,在一个例子中,客户端标识和服务端标识可以为IP地址,该例子中,可以直接从第一报文中获取源IP地址和目的IP地址,分别作为客户端标识和服务端标识;客户端协议类型可以记录为SSL协议类型;不同的是,由于该第一报文未匹配SSL卸载策略,可以不用对第一报文执行SSL卸载,那么,在会话表项中,所保存的服务端协议类型为SSL协议类型。如下表3,为上述描述中,在会话信息中新增的会话表项的一种示例:
表3
| 客户端标识 | 服务端标识 | 客户端协议类型 | 服务端协议类型 |
| 192.168.1.2 | 202.201.2.3 | SSL协议类型 | SSL协议类型 |
步骤S403:当再次接收到客户端发送至服务端的第一报文时,根据所述第一报文查找所述会话信息,当查找到所述第一报文对应的会话表项时,根据所述会话表项中的客户端协议类型与服务端协议类型均为SSL协议类型,将所述第一报文转发至服务端处理。
当再次接收到客户端向服务端发送的第一报文时,根据该第一报文查找上述表3所示的会话信息,当查找到该第一报文对应的会话表项时,可以认为该第一报文不是会话的首报文,且该第一报文的传输方式可以与该会话的首报文的传输方式相同。那么,即可以根据会话表项中的客户端协议类型与服务端协议类型均为SSL协议类型,直接得出可以不对该第一报文执行SSL卸载,从而可以直接将该第一报文转发至服务端进行处理,而不需要再将该第一报文与预先配置的SSL卸载策略进行匹配,从而加快了SSL卸载设备对报文的处理速度。
由上述实施例可见,通过在第一报文未匹配预先配置的SSL卸载策略时,根据该第一报文与匹配结果建立会话表项,再次接收到客户端向服务端发送的第一报文时,可以根据该第一报文查找保存的会话信息,查找到该第一报文对应的会话表项,根据会话表项中所记录的客户端协议类型与服务端协议类型均为SSL协议,直接确定可以不对该第一报文执行SSL卸载,从而不用再根据该第一报文与预先配置的SSL卸载策略进行匹配,加快了SSL卸载设备对报文的处理速度,而且同时实现了灵活地按需进行SSL卸载,提高了服务端的性能,降低了服务端的压力。
与前述处理报文的方法的实施例相对应,本申请还提供了处理报文的装置的实施例。
本申请处理报文的装置的实施例可以应用在网络设备,例如SSL卸载设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在网络设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图5所示,为本申请处理报文的装置所在网络设备的一种硬件结构图,除了图5所示的处理器51、内存52、网络接口53、非易失性存储器54、以及内部总线55之外,实施例中装置所在的网络设备通常根据该网络设备的实际功能,还可以包括其他硬件,对此不再赘述。
请参考图6,是本申请处理报文的装置的一个实施例框图,该装置可以包括:接收单元61、匹配单元62、处理单元63。
其中,该接收单元61,可以用于接收客户端向服务端发送的第一报文,所述第一报文由所述客户端通过SSL协议进行加密处理;
该匹配单元62,可以用于根据预配置的SSL卸载策略与所述第一报文进行匹配;
该处理单元63,可以用于在所述第一报文匹配所述SSL卸载策略时,将所述第一报文执行SSL卸载后转发至所述服务端,所述SSL卸载策略用于限定对接收到的报文执行SSL卸载时需要匹配的卸载规则。
在一个实施例中,所述SSL卸载策略包括:SSL协议类型、服务端标识、卸载规则;
该匹配单元62,具体可以用于:
若所述第一报文的协议类型为SSL协议类型,所述第一报文中的目的IP地址所对应的服务端标识与所述SSL卸载策略中的服务端标识一致,且所述第一报文与所述SSL卸载策略中的卸载规则相匹配,则确定所述第一报文匹配所述SSL卸载策略。
在另一个实施例中,所述卸载规则,包括:基于客户端标识卸载、基于资源阈值卸载、基于业务安全系数卸载。
请参考图7,是本申请处理报文的装置的另一个实施例框图,该图7所示的装置在上述图6所示装置的基础上,该装置还可以包括:第一保存单元64、第一查找单元65。
其中,该第一保存单元64,可以用于在所述第一报文匹配所述SSL卸载策略时,在保存的会话信息中增加会话表项,所述会话表项包括:客户端标识、服务端标识、客户端协议类型,服务端协议类型,其中,所述客户端协议类型为SSL协议类型,服务端协议类型为非SSL协议类型;
该第一查找单元65,可以用于当接收到服务端向客户端发送的第二报文时,根据所述第二报文查找所述会话信息;
在一个实施例中,所述处理单元63,还可以用于当查找到所述第二报文对应的会话表项时,根据所述会话表项中的客户端协议类型为SSL协议类型,服务端协议类型为非SSL协议类型,加密所述第二报文,将所述加密后的第二报文转发至所述客户端。
请参考图8,是本申请处理报文的装置的又一个实施例框图,该图8所示的装置在上述图6所示装置的基础上:
其中,该处理单元63,还可以用于:在所述第一报文未匹配所述SSL卸载策略时,将所述第一报文转发至服务端处理;
该图8所示的装置还可以包括:第二保存单元66、第二查找单元67。
其中,该第二保存单元66,可以用于在所述第一报文未匹配所述SSL卸载策略时,在保存的会话信息中增加会话表项,所述会话表项包括:客户端标识、服务端标识、客户端协议类型、服务端协议类型,其中所述客户端协议类型为SSL协议类型,服务端协议类型为SSL协议类型;
该第二查找单元67,可以用于当再次接收到客户端发送至服务端的第一报文时,根据所述第一报文查找所述会话信息;
在一个实施例中,该处理单元63,还可以用于:当查找到所述第一报文对应的会话表项时,根据所述会话表项中的客户端协议类型与服务端协议类型均为SSL协议类型,将所述第一报文转发至服务端处理。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种处理报文的方法,其特征在于,所述方法包括:
接收客户端向服务端发送的第一报文,所述第一报文由所述客户端通过安全套接层SSL协议进行加密处理;
根据预配置的SSL卸载策略,若所述第一报文匹配所述SSL卸载策略,则将所述第一报文执行SSL卸载后转发至所述服务端,所述SSL卸载策略用于限定对接收到的报文执行SSL卸载时需要匹配的卸载规则;
若所述第一报文未匹配所述SSL卸载策略,则将所述第一报文转发至服务端处理。
2.根据权利要求1所述的方法,其特征在于,所述SSL卸载策略包括:SSL协议类型、服务端标识、卸载规则;
所述第一报文匹配所述SSL卸载策略,包括:
所述第一报文的协议类型为SSL协议类型,所述第一报文中的目的IP地址所对应的服务端标识与所述SSL卸载策略中的服务端标识一致,且所述第一报文与所述SSL卸载策略中的卸载规则相匹配。
3.根据权利要求1所述的方法,其特征在于,所述卸载规则,包括:基于客户端标识卸载、基于资源阈值卸载、基于业务安全系数卸载。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述第一报文匹配所述SSL卸载策略,在保存的会话信息中增加会话表项,所述会话表项包括:客户端标识、服务端标识、客户端协议类型,服务端协议类型,其中,所述客户端协议类型为SSL协议类型,服务端协议类型为非SSL协议类型;
当接收到服务端向客户端发送的第二报文时,根据所述第二报文查找所述会话信息,当查找到所述第二报文对应的会话表项时,根据所述会话表项中的客户端协议类型为SSL协议类型,服务端协议类型为非SSL协议类型,加密所述第二报文,将所述加密后的第二报文转发至所述客户端。
5.根据权利要求1所述的方法,其特征在于,在所述若所述第一报文未匹配所述SSL卸载策略,则将所述第一报文转发至服务端处理之后,所述方法还包括:
在保存的会话信息中增加会话表项,所述会话表项包括:客户端标识、服务端标识、客户端协议类型、服务端协议类型,其中所述客户端协议类型为SSL协议类型,服务端协议类型为SSL协议类型;
当再次接收到客户端发送至服务端的第一报文时,根据所述第一报文查找所述会话信息,当查找到所述第一报文对应的会话表项时,根据所述会话表项中的客户端协议类型与服务端协议类型均为SSL协议类型,将所述第一报文转发至服务端处理。
6.一种处理报文的装置,其特征在于,所述装置包括:
接收单元,用于接收客户端向服务端发送的第一报文,所述第一报文由所述客户端通过SSL协议进行加密处理;
匹配单元,用于根据预配置的SSL卸载策略与所述第一报文进行匹配;
处理单元,用于在所述第一报文匹配所述SSL卸载策略时,将所述第一报文执行SSL卸载后转发至所述服务端,所述SSL卸载策略用于限定对接收到的报文执行SSL卸载时需要匹配的卸载规则;
所述处理单元,还用于:在所述第一报文未匹配所述SSL卸载策略时,将所述第一报文转发至服务端处理。
7.根据权利要求6所述的装置,其特征在于,所述SSL卸载策略包括:SSL协议类型、服务端标识、卸载规则;
所述匹配单元,具体用于:
若所述第一报文的协议类型为SSL协议类型,所述第一报文中的目的IP地址所对应的服务端标识与所述SSL卸载策略中的服务端标识一致,且所述第一报文与所述SSL卸载策略中的卸载规则相匹配,则确定所述第一报文匹配所述SSL卸载策略。
8.根据权利要求6所述的装置,其特征在于,所述卸载规则,包括:基于客户端标识卸载、基于资源阈值卸载、基于业务安全系数卸载。
9.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第一保存单元,用于在所述第一报文匹配所述SSL卸载策略时,在保存的会话信息中增加会话表项,所述会话表项包括:客户端标识、服务端标识、客户端协议类型,服务端协议类型,其中,所述客户端协议类型为SSL协议类型,服务端协议类型为非SSL协议类型;
第一查找单元,用于当接收到服务端向客户端发送的第二报文时,根据所述第二报文查找所述会话信息;
所述处理单元,还用于当查找到所述第二报文对应的会话表项时,根据所述会话表项中的客户端协议类型为SSL协议类型,服务端协议类型为非SSL协议类型,加密所述第二报文,将所述加密后的第二报文转发至所述客户端。
10.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第二保存单元,用于在所述第一报文未匹配所述SSL卸载策略时,在保存的会话信息中增加会话表项,所述会话表项包括:客户端标识、服务端标识、客户端协议类型、服务端协议类型,其中所述客户端协议类型为SSL协议类型,服务端协议类型为SSL协议类型;
第二查找单元,用于当再次接收到客户端发送至服务端的第一报文时,根据所述第一报文查找所述会话信息;
所述处理单元,还用于:当查找到所述第一报文对应的会话表项时,根据所述会话表项中的客户端协议类型与服务端协议类型均为SSL协议类型,将所述第一报文转发至服务端处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610356636.9A CN106101007B (zh) | 2016-05-24 | 2016-05-24 | 处理报文的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610356636.9A CN106101007B (zh) | 2016-05-24 | 2016-05-24 | 处理报文的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106101007A CN106101007A (zh) | 2016-11-09 |
| CN106101007B true CN106101007B (zh) | 2019-05-07 |
Family
ID=57229410
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610356636.9A Active CN106101007B (zh) | 2016-05-24 | 2016-05-24 | 处理报文的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106101007B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106341417B (zh) * | 2016-09-30 | 2019-11-05 | 贵州白山云科技股份有限公司 | 一种基于内容分发网络的https加速方法和系统 |
| CN108076066B (zh) * | 2017-12-27 | 2021-03-23 | 杭州迪普科技股份有限公司 | 一种防护gre报文的方法及装置 |
| CN111756751B (zh) * | 2020-06-28 | 2022-10-21 | 杭州迪普科技股份有限公司 | 报文传输方法、装置及电子设备 |
| CN112055032B (zh) * | 2020-09-21 | 2022-05-17 | 迈普通信技术股份有限公司 | 一种报文处理方法、装置、电子设备及存储介质 |
| CN113709135B (zh) * | 2021-08-24 | 2023-02-07 | 杭州迪普科技股份有限公司 | Ssl流量审计采集系统与方法 |
| CN114979105B (zh) * | 2022-05-31 | 2023-06-27 | 杭州迪普科技股份有限公司 | 通过ssl负载均衡设备自动识别国密和商密业务的方法和装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101778045A (zh) * | 2010-01-27 | 2010-07-14 | 成都市华为赛门铁克科技有限公司 | 报文传输方法、装置及网络系统 |
| CN102111349A (zh) * | 2009-12-25 | 2011-06-29 | 上海格尔软件股份有限公司 | 安全认证网关 |
| CN104348694A (zh) * | 2013-07-25 | 2015-02-11 | 凯为公司 | 具有虚拟交换机和业务流策略增强的网络接口卡 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009055368A2 (en) * | 2007-10-21 | 2009-04-30 | Citrix Systems, Inc. | Systems and methods to adaptively load balance user sessions to reduce energy consumption |
| CA2963976C (en) * | 2014-10-29 | 2019-11-19 | Kodiak Networks, Inc. | System and method to leverage web real-time communication for implementing push-to-talk solutions |
-
2016
- 2016-05-24 CN CN201610356636.9A patent/CN106101007B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102111349A (zh) * | 2009-12-25 | 2011-06-29 | 上海格尔软件股份有限公司 | 安全认证网关 |
| CN101778045A (zh) * | 2010-01-27 | 2010-07-14 | 成都市华为赛门铁克科技有限公司 | 报文传输方法、装置及网络系统 |
| CN104348694A (zh) * | 2013-07-25 | 2015-02-11 | 凯为公司 | 具有虚拟交换机和业务流策略增强的网络接口卡 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106101007A (zh) | 2016-11-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106101007B (zh) | 处理报文的方法及装置 | |
| US11153289B2 (en) | Secure communication acceleration using a System-on-Chip (SoC) architecture | |
| US10038693B2 (en) | Facilitating secure network traffic by an application delivery controller | |
| CN108377671B (zh) | 处理报文的方法和计算机设备 | |
| CN108401011A (zh) | 内容分发网络中握手请求的加速方法、设备及边缘节点 | |
| US20170149748A1 (en) | Secure Group Messaging and Data Steaming | |
| CN109245993A (zh) | 基于区块链的即时通讯方法及装置 | |
| US11539747B2 (en) | Secure communication session resumption in a service function chain | |
| CN102833253A (zh) | 建立客户端与服务器安全连接的方法及服务器 | |
| US10505984B2 (en) | Exchange of control information between secure socket layer gateways | |
| US20200403978A1 (en) | Hybrid key exchanges for double-hulled encryption | |
| CN105939240B (zh) | 负载均衡方法及装置 | |
| US11368335B1 (en) | Providing a split-configuration virtual private network | |
| CN114938312B (zh) | 一种数据传输方法和装置 | |
| CN110535879A (zh) | 一种原始地址传输方法、系统、存储介质和处理器 | |
| CN113221146A (zh) | 区块链节点间数据传输的方法和装置 | |
| US11582195B1 (en) | Parallel encrypted data streams for virtual private networks | |
| WO2009011968A1 (en) | Endpoint discriminator in network transport protocol startup packets | |
| US8516240B1 (en) | WAN secured VDI traffic for WAN optimization without required user configuration | |
| KR101971995B1 (ko) | 보안을 위한 보안 소켓 계층 복호화 방법 | |
| CN114979105B (zh) | 通过ssl负载均衡设备自动识别国密和商密业务的方法和装置 | |
| CN110213346A (zh) | 加密信息的传输方法及装置 | |
| US20230188510A1 (en) | Distributed Trust-Based Communication | |
| CN106549849B (zh) | 报文的处理方法及装置 | |
| CN111797417A (zh) | 文件的上传方法和装置、存储介质及电子装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant after: Hangzhou Dipu Polytron Technologies Inc Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant before: Hangzhou Dipu Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210615 Address after: 310051 05, room A, 11 floor, Chung Cai mansion, 68 Tong Xing Road, Binjiang District, Hangzhou, Zhejiang. Patentee after: Hangzhou Dip Information Technology Co.,Ltd. Address before: 310051, 6 floor, Chung Cai mansion, 68 Tong he road, Binjiang District, Hangzhou, Zhejiang. Patentee before: Hangzhou DPtech Technologies Co.,Ltd. |